第2講密碼學(xué)簡介

第2講密碼學(xué)簡介蘇兆品主要內(nèi)容1加密技術(shù)2數(shù)字簽名3密鑰管理1加密技術(shù)密碼學(xué)的基本概念傳統(tǒng)密碼學(xué)對(duì)稱密碼學(xué)公鑰密碼學(xué)

密碼體制密碼學(xué)中的安全可能的攻擊手段現(xiàn)代密碼學(xué)的基本原則1.1密碼學(xué)的基本概念一密碼體制1.明文(Plaintext):須加密的消息或數(shù)據(jù)，是加密算法的輸入。2.密文(Ciphertext):加密之后的數(shù)據(jù)，是加密算法的輸出。3.密鑰(Key)：加密或解密的參數(shù)。不同的密鑰，會(huì)有不同的輸出結(jié)果。一密碼體制（續(xù)）4.加密(Encryption)：將明文變成密文的過程。C=EK(P)，K是密鑰，P是明文，C是密文，E是加密算法。5.解密(Decryption)：將密文恢復(fù)成明文的過程。P=DK(C)，D是解密算法。一密碼體制（續(xù)）EDC=EK1(P)P=DK2(C)K1K2不安全的信道AliceBob(發(fā)送方)(接收方)TRUDY(第三方，竊聽者)K1=k2，對(duì)稱密碼體制K1

k2，非對(duì)稱密碼體制二密碼學(xué)中的安全1.無條件安全（UnconditionalSecure)無論截獲多少密文，都不能得到足夠的信息唯一地決定明文。2.計(jì)算上安全（ComputationallySecure)在有限的資源內(nèi)，不能通過系統(tǒng)分析的方法破解系統(tǒng)。3.理論上安全（PerfectSecure)Shannon:加密密鑰長度和明文一致，密鑰只能用一次（one-time-pad，OPT，一次一密密碼）4.實(shí)際上安全（PracticalSecure)Shannon:給定一個(gè)n位的密文，必須有一個(gè)最小的工作時(shí)間來破解系統(tǒng)。這個(gè)時(shí)間為W(n)。當(dāng)n趨于無窮時(shí)，w(n)w(∞)。當(dāng)n大到一定程度，攻擊者在合理的時(shí)間內(nèi)無法破解此系統(tǒng)。三可能的攻擊手段密碼分析學(xué)是在不知道密鑰的情況下，恢復(fù)出明文的科學(xué)。密碼分析也可以發(fā)現(xiàn)密碼體制的弱點(diǎn)。攻擊的目的獲取密鑰常用的密碼分析方法：三可能的攻擊手段（續(xù)）1.僅知道密文攻擊Trudy僅能得到一份密文的拷貝。2.已知明文攻擊Trudy不僅有一份密文的拷貝，還有對(duì)應(yīng)的明文3.選擇明文攻擊Trudy臨時(shí)獲取了加密的機(jī)器，她可以通過加密大量挑選出的明文，然后試著利用其產(chǎn)生的密文來推測(cè)密鑰。4.選擇密文攻擊Trudy臨時(shí)獲得了用來解密的機(jī)器，利用它去“解密”幾個(gè)符號(hào)，并利用可能結(jié)果推測(cè)出密鑰。四現(xiàn)代密碼學(xué)的基本原則設(shè)計(jì)加密系統(tǒng)時(shí)，總是假設(shè)密碼算法是公開的，需要保密的是密鑰。1.2傳統(tǒng)密碼學(xué)移位密碼仿射密碼代換密碼置換密碼一移位密碼加密算法c=Ek(m)=(m+k)modq解密算法m=Dk(c)=(c-k)modq代表算法愷撒密碼;例：(k=3)明文meetmeaftertheparty密文phhwphdiwhuwkhsduwb

二仿射密碼加密算法c=Ek(m)=(am+b)modq解密算法m=Dk(c)=(c-b)/amodq密鑰K=(a,b)

二仿射密碼（續(xù)）舉例設(shè)密鑰K=(7,3),明文hot三個(gè)字母對(duì)應(yīng)的數(shù)值是7、14和19。分別加密如下：

(7×7+3)mod26=52mod26=0

(7×14+3)mod26=101mod26=23

(7×19+3)mod26=136mod26=6三個(gè)密文數(shù)值為0、23和6，對(duì)應(yīng)的密文是axg。三單表代換密碼定義：密文是26個(gè)字母的任意置換,密鑰是明文字母到密文字母的一個(gè)字母表.密鑰明文iamaboy密文af…缺點(diǎn)：不能抵抗明文統(tǒng)計(jì)特性的攻擊abcdefghijk…fzlxbhtwado…四多表代換密碼(維吉尼亞密碼）密鑰K＝（

k1,k2,…,km)加密算法：Ek(x1,x2,…,xm)=(x1+k1,x2+k2,…,xm+km)=c解密算法：Dk(y1,y2,…,ym)=(x1-k1,x2-k2,…,xm-km)=m這里的所有的運(yùn)算都是在（mod26)中進(jìn)行的。四多表代換密碼(續(xù)）密鑰為:deceptive;明文：wearediscoveredsaveyourself密鑰：deceptivedeceptivedeceptive密文：zicvtwqngrzgvtwavzhcqyglmgj五置換技術(shù)最簡單的為柵欄技術(shù)以對(duì)角線順序?qū)懴旅魑?，以行順序讀出例：明文：meetmeaftertheparty深度為2的柵欄技術(shù)可寫為：

mematrhpry

etefeteat密文為：mematrhpryetefeteat現(xiàn)代密碼設(shè)計(jì)基本思想混亂(confusion)：即在加密變換過程中使明文、密鑰及密文之間的關(guān)系復(fù)雜化。用于掩蓋明文和密文間的關(guān)系。散布(diffusion)：即將每一位明文信息的變化盡可能地散布到多個(gè)輸出的密文信息中，即改變一個(gè)明文盡可能多的改變多個(gè)密文，以便隱蔽明文信息的統(tǒng)計(jì)特性。單獨(dú)用一種方法，容易被攻破。1.3對(duì)稱密碼學(xué)1.3對(duì)稱密碼學(xué)（續(xù)）對(duì)稱密碼學(xué)分類流密碼（序列密碼）每次一位地對(duì)明文進(jìn)行操作和運(yùn)算流密碼只依賴于混亂塊密碼（分組密碼）一次若干位一組地對(duì)明文進(jìn)行操作和運(yùn)算分組密碼使用混亂和散步1.3對(duì)稱密碼學(xué)（續(xù)）流密碼RC4混沌密碼塊密碼-DES一RC4算法設(shè)計(jì)者：RonRivest設(shè)計(jì)時(shí)間：1987年公開時(shí)間：1994密鑰：支持可變的密鑰長度（通常為256位）速度：快原理：初始化算法偽隨機(jī)子密碼生成算法一RC4算法（續(xù)）初始化算法一RC4算法（續(xù)）偽隨機(jī)子密碼生成算法應(yīng)用：無線通信網(wǎng)絡(luò)安全分析存在部分弱密鑰，在不到100萬字節(jié)內(nèi)就發(fā)生了完全的重復(fù)使用RC4算法時(shí)，必須對(duì)加密密鑰進(jìn)行測(cè)試，判斷其是否為弱密鑰。二混沌密碼什么是混沌？混沌（Chaos）是非線性動(dòng)力系統(tǒng)中出現(xiàn)的一種確定性的、貌似無規(guī)則的運(yùn)動(dòng)，它不需要附加任何隨機(jī)因素也可以出現(xiàn)類似隨機(jī)的行為，即存在內(nèi)在隨機(jī)性，這種運(yùn)動(dòng)既非周期又不收斂，并且對(duì)初始值有極其敏感的依賴性。特征：類隨機(jī)性：由確定性方程產(chǎn)生的，初始狀態(tài)決定混沌信號(hào)序列就可以精確地再生長期不可預(yù)測(cè)性舉例：隨機(jī)性實(shí)驗(yàn)--擲硬幣初值敏感性失之毫厘，差之千里遍歷性典型的混沌系統(tǒng)Logistic映射即蟲口模型，它是目前研究非常廣泛的一種混沌映射。意義可解釋為：在某一范圍內(nèi)單一種類的昆蟲繁殖時(shí)，其子代數(shù)量遠(yuǎn)遠(yuǎn)大于其親代數(shù)量，這樣可以認(rèn)為，在子代出生后，其親代的數(shù)量可忽略不計(jì)。設(shè)xn是某種昆蟲第n年的個(gè)體數(shù)目，這個(gè)數(shù)目與年份有關(guān)，n只取整數(shù)值，第n+1年的數(shù)目為xn+1。其中，0≤x≤1，μ為控制參數(shù)，0<μ≤4。當(dāng)0<μ≤1時(shí)，序列會(huì)最終收斂于0。當(dāng)1<μ≤3時(shí)，定常解為0和11/μ，多次迭代后序列會(huì)收斂于這兩個(gè)值中的一個(gè)。當(dāng)3<μ≤4時(shí)，系統(tǒng)由倍周期通向混沌。而且μ取值越接近4，混沌性越強(qiáng)。Arnold變換遍歷理論又被稱為貓臉變換。原理：Cat映射可以把圖像中各像素點(diǎn)的位置進(jìn)行置換，使其達(dá)到加密的目的

modN當(dāng)a=b=1，N=1時(shí)，Cat映射的方程可寫為：思想：拉伸和折疊。Cat映射通過與矩陣C相乘使x、y都變大，相當(dāng)于拉伸；取模運(yùn)算使x、y又折回單位矩形內(nèi)，相當(dāng)于折疊。單位矩陣內(nèi)的每一點(diǎn)唯一地變換到單位矩陣內(nèi)的另一點(diǎn)。Cat映射可以用于圖像置亂加密，而且基于Arnold的Cat圖像置亂也是目前研究最為廣泛的一種置亂方案。分析：適合于圖像信息的加密周期性問題課后閱讀A5序列密碼算法分析三DES算法數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）1976年被美國聯(lián)邦政府的國家標(biāo)準(zhǔn)局確定為聯(lián)邦資料處理標(biāo)準(zhǔn)，隨后在國際上廣泛流傳開來。DES的過程初始置換IP64位明文第一輪第16輪32位互換逆初始置換IP-164位密文置換選擇PC-164位密鑰循環(huán)左移循環(huán)左移置換選擇PC-2K1置換選擇PC-2K16DES的安全性密鑰長度不夠（56位+8位奇偶校驗(yàn)）存在弱密鑰密鑰為0，1時(shí)若k1=k2=…=k16

，則DESk(m)=DESk-1(m)S-box問題S盒是不公開的，人們懷疑S盒的構(gòu)造方法是否有弱點(diǎn)不能抗差分分析對(duì)稱密碼體制小結(jié)規(guī)模復(fù)雜進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換。提供數(shù)據(jù)的機(jī)密性，不能用于認(rèn)證。1.4公鑰密碼學(xué)公鑰密碼體制RSA算法公鑰密碼和與對(duì)稱密碼的區(qū)別和應(yīng)用場(chǎng)合?是否前者更加安全?問題一公鑰密碼體制每方均有2個(gè)密碼公鑰私鑰功能保密認(rèn)證一公鑰密碼體制（續(xù)）1、保密加密：C=Ekub(P)用接收方的公鑰加密解密：P=DKRb(C)用自己的私鑰解密TrudyAliceEDBob密鑰對(duì)C=Ekub(p)KubpP=DkRb(c)KRbP=?kRb=?一公鑰密碼體制（續(xù)）2、認(rèn)證簽名：C=Ekra(P)

用自己的私鑰簽名驗(yàn)證：P=DKua(C)

用發(fā)送方的公鑰驗(yàn)證AliceED密鑰對(duì)PC=Ekra(P)P=DKua(C)Bobkrakua2.1.4.1公鑰密碼體制（續(xù)）AliceED密鑰對(duì)源PC’=EkRa(P)C=DKua(C’)BobkRakuaEC=Ekub(C’)DC’=DkRa(C)密鑰對(duì)源kubkRb發(fā)送方：C=Ekub[Ekra(p)]

先用自己的私鑰簽名，再用接收方的公鑰加密接收方:P=Dkua[Dkrb(C)]用自己的私鑰解密，再用發(fā)送方的公鑰驗(yàn)證3、既認(rèn)證又保密（先簽名后加密）主要應(yīng)用加密/解密數(shù)字簽名密鑰管理二RSA算法1、背景1976年Diffie和Hellman指出新的密碼學(xué)方法（公鑰體制）定義1.單向函數(shù)f,已知x計(jì)算y=f(x)容易，但給定y,求x=f-1(y)非常難。定義2.單向陷門函數(shù)ft，已知x計(jì)算y=f(x)容易。不知參數(shù)t的情況下，計(jì)算x=f-1(y)難，但知道t，計(jì)算x=f-1(y)易。背景(續(xù))1978年，Rivest,Shamir和Adleman提出?；凇按髷?shù)分解的素?cái)?shù)檢測(cè)”基礎(chǔ)上。已知大素?cái)?shù)p和q，求n=p*q容易，但反過來，知道大數(shù)n，分解出素?cái)?shù)p和q困難。算法描述密鑰產(chǎn)生選擇p,q，使得p,q是素?cái)?shù)，且p≠q計(jì)算n=p×q計(jì)算t=(p-1)×(q-1)

選擇整數(shù)e,使得gcd(t,e)=1(1<e<t)計(jì)算d,使得e*d=1modt公鑰KU={e,n},私鑰KR={d,p,q}算法描述(續(xù))加密C=C=MemodN,其中0≤M<N解密M=CdmodN舉例找兩個(gè)素?cái)?shù)：p=47，q=59n=p*q=2773t=(p-1)*(q-1)=2668取e=63，滿足e<t并且e和t互素計(jì)算d,使得e*d=1modt，d=847公鑰KU={e=63,n=2773},私鑰KR={d=847,p=47,q=59}設(shè)消息M=244，對(duì)此進(jìn)行認(rèn)證，用私鑰加密，公鑰解密加密：c=M**d%n=244**847mod2773＝465解密：m=c**e%n=465**63mod2773=2442數(shù)字簽名

數(shù)字簽名的概念利用RSA密碼實(shí)現(xiàn)數(shù)字簽名

數(shù)字簽名和認(rèn)證有何區(qū)別和聯(lián)系？問題2.1數(shù)字簽名概念日常生活中的簽名，蓋章數(shù)字簽名滿足的條件簽名者事后不能抵賴自己的簽名任何其他人不能偽造簽名如果當(dāng)事人雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)，能夠在公正的仲裁者面前通過驗(yàn)證來確認(rèn)其真?zhèn)巍?.1數(shù)字簽名概念（續(xù)）需要解決的問題A如何在文件M上簽名？B如何驗(yàn)證A的簽名真?zhèn)危緼如何鑒別別人偽造自己的簽名？B如何阻止A簽名后又抵賴？數(shù)字簽名過程簽名：SA=D(M,KdA)=(MdA)modn

用自己的私鑰簽名驗(yàn)證：E(SA，keA)=(MdA)eAmodn=M

用發(fā)送方的公鑰驗(yàn)證AliceED密鑰對(duì)PC=Ekra(P)P=DKua(C)Bobkrakua2.2利用RSA密碼實(shí)現(xiàn)數(shù)字簽名RSA的選擇密文攻擊TRUDY要偽造A對(duì)M3的簽名，容易找M1和M2，使得

M3=M1*M2modn設(shè)法讓A對(duì)M1和M2進(jìn)行簽名S1=(M1)dAmodnS2=(M2)dAmodnTURDY可以偽造：（S1S2)modn=((M1)dA(M2)dA)modn=(M3)dAmodn=S3主要措施有兩條采用好的公鑰協(xié)議，保證工作過程中實(shí)體不對(duì)其他實(shí)體任意產(chǎn)生的信息解密，不對(duì)自己一無所知的信息簽名決不對(duì)陌生人送來的隨機(jī)文檔簽名RSA數(shù)字簽名的應(yīng)用PGP(PrettyGoodPrivacy)相當(dāng)好的隱私，是PGP公司的加密和／或簽名工具套件加密：IDEA算法；簽名：RSA免費(fèi)3密鑰管理密鑰的重要性（不言而喻）近代密碼學(xué)的基本原則主要內(nèi)容傳統(tǒng)密碼體制的密鑰管理公開密鑰體制的密鑰管理3.1密鑰管理原則密鑰管理一般來說，從密鑰管理途徑進(jìn)行攻擊比單純破譯密碼算法的代價(jià)小得多。因此，引入密鑰管理機(jī)制，進(jìn)行有效的控制，對(duì)于提高網(wǎng)絡(luò)及系統(tǒng)的安全性和抗攻擊性非常重要全程安全原則密鑰的產(chǎn)生、存儲(chǔ)、分配、組織、使用、停用、變換、更新和銷毀的全過程3.1密鑰管理原則（續(xù)）最小權(quán)利原則指“應(yīng)當(dāng)只分發(fā)給用戶進(jìn)行某一事務(wù)處理所需的最小的密鑰集合"。包括2個(gè)含義：一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體"必不可少"的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。3.1密鑰管理原則（續(xù)）責(zé)任分離原則一個(gè)密鑰應(yīng)當(dāng)專職一個(gè)功能，不要讓一個(gè)密鑰兼任幾種功能密鑰分級(jí)原則主密鑰，二級(jí)密鑰，初級(jí)密鑰高級(jí)密鑰保護(hù)低級(jí)密鑰好處：可減少保護(hù)密鑰的數(shù)量，又可簡化密鑰的管理工作密鑰更換原則密鑰必修按時(shí)更新：即使是采用很強(qiáng)的密碼算法，使用時(shí)間越長，攻擊者獲得的密文越多，破譯密碼的可能性越多最理想的是一個(gè)密鑰只使用一次（一次一密）密鑰應(yīng)當(dāng)有足夠的長度密碼安全的必要條件是密鑰有足夠的長度。密鑰越長，密鑰空間越大，破譯的可能性越小密碼體制不同，密鑰管理也不相同傳統(tǒng)密碼體制與公開密碼體制性質(zhì)不同，密鑰管理也不同3.2

傳統(tǒng)密碼的密鑰管理1、密鑰組織：將密鑰分為三級(jí)：初級(jí)密鑰二級(jí)密鑰主密鑰(高級(jí)密鑰)高級(jí)密鑰二級(jí)密鑰初級(jí)密鑰①初級(jí)密鑰我們稱直接用于加解密數(shù)據(jù)(通信，文件)的密鑰為初級(jí)密鑰，記為K。其中:用于通信保密的初級(jí)密鑰為初級(jí)通信密鑰，并記為Kc

。稱用于保護(hù)會(huì)話的初級(jí)密鑰為會(huì)話密鑰(SessionKey)，記為Ks

。稱用于文件保密的初級(jí)密鑰為初級(jí)文件密鑰(FileKey)，記為Kf

。說明：初級(jí)密鑰可通過硬件或軟件方式自動(dòng)產(chǎn)生，也可由用戶自己提供。初級(jí)通信密鑰和初級(jí)會(huì)話密鑰原則上采用一個(gè)密鑰只使用一次的“一次一密”方式。初級(jí)通信密鑰的生存周期很短。初級(jí)文件密鑰與其所保護(hù)的文件有一樣長的生存周期。初級(jí)密鑰必須受更高一級(jí)的密鑰保護(hù)，直到它們的生存周期結(jié)束為止。二級(jí)密鑰(SecondaryKey)用于保護(hù)初級(jí)密鑰，記作KN，這里N表示節(jié)點(diǎn)，源于它在網(wǎng)絡(luò)中的地位。當(dāng)二級(jí)密鑰用于保護(hù)初級(jí)通信密鑰時(shí)稱為二級(jí)通信密鑰，記為KNC。當(dāng)二級(jí)密鑰用于保護(hù)初級(jí)文件密鑰時(shí)稱為二級(jí)文件密鑰，記為KNF。②二級(jí)密鑰二級(jí)密鑰可經(jīng)專職密鑰安裝人員批準(zhǔn)，由系統(tǒng)自動(dòng)產(chǎn)生?？捎蓪Ｂ毭荑€安裝人員提供。二級(jí)密鑰的生存周期一般較長，它在較長的時(shí)間內(nèi)保持不變。二級(jí)密鑰必須接受更高級(jí)的密鑰的保護(hù)。主密鑰(MasterKey)是密鑰管理方案中的最高級(jí)密鑰，記作KM。主密鑰用于對(duì)二級(jí)密鑰和初級(jí)密鑰進(jìn)行保護(hù)。主密鑰由密鑰專職人員隨機(jī)產(chǎn)生，并妥善安裝。主密鑰的生存周期很長。③主密鑰對(duì)密鑰的一個(gè)基本要求是要具有良好的隨機(jī)性：長周期性、非線性、等概性以及不可預(yù)測(cè)性等。一個(gè)真正的隨機(jī)序列是不可再現(xiàn)的。任何人都不能再次產(chǎn)生它(真隨機(jī))高效地產(chǎn)生高質(zhì)量的真隨機(jī)序列，并不是一件容易的事。2、密鑰產(chǎn)生①主密鑰的產(chǎn)生主密鑰應(yīng)當(dāng)是高質(zhì)量的真隨機(jī)序列。真隨機(jī)數(shù)應(yīng)該從自然界的隨機(jī)現(xiàn)象中提取。基于力學(xué)噪聲源：利用硬幣、骰子等拋散落地的隨機(jī)性產(chǎn)生密鑰。例如，用1表示硬幣的正面，用0表示硬幣的反面，選取一定數(shù)量隨機(jī)地拋撒并紀(jì)錄其落地后的狀態(tài)，便產(chǎn)生出二進(jìn)制的密鑰。這種方法效率低，而且隨機(jī)性較差?；陔娮訉W(xué)噪聲源：利用電子方法對(duì)噪聲器件（如真空管、穩(wěn)壓二極管等）的噪聲進(jìn)行放大、整形處理后產(chǎn)生密鑰隨機(jī)序列基于混沌理論：混沌理論的方法，不僅可以產(chǎn)生噪聲，而且噪聲序列的隨機(jī)性好，產(chǎn)生效率高兩種方法：第一種方法：可以象產(chǎn)生主密鑰那樣產(chǎn)生真隨機(jī)的二級(jí)密鑰。在主密鑰產(chǎn)生后，可借助于主密鑰和一個(gè)強(qiáng)的密碼算法來產(chǎn)生二級(jí)密鑰。第二種方法：用產(chǎn)生主密鑰的方法產(chǎn)生兩個(gè)真隨機(jī)數(shù)RN1，RN2，再產(chǎn)生一個(gè)隨機(jī)數(shù)RN3，然后分別以它們?yōu)槊荑€對(duì)一個(gè)序數(shù)進(jìn)行四層加密，最后產(chǎn)生出二級(jí)密鑰KN

。

KN＝E(E(E(E(i，RN1)，RN2)，RN1)，RN3)

要想根據(jù)序數(shù)i預(yù)測(cè)出密鑰KN，必須同時(shí)知道兩個(gè)真隨機(jī)數(shù)RN1，RN2和一個(gè)隨機(jī)數(shù)RN3，這是極困難的。②二級(jí)密鑰的產(chǎn)生③初密鑰的產(chǎn)生為了安全和簡便，通常總是把隨機(jī)數(shù)直接視為受高級(jí)密鑰加密過的初級(jí)密鑰：

RD＝E(Ks，KM)或RD＝E(Kf，KM)，

RD＝E(Ks，KNC)或RD＝E(Kf，KNF)。使用初級(jí)密鑰時(shí)，用高級(jí)密鑰將隨機(jī)數(shù)RN解密：

Ks＝D(RD，KM)或Kf＝D(RD，KM)，

Ks＝D(RD，KNC)或Kf＝D(RD，KNF)好處：安全，一產(chǎn)生就是密文。 方便二級(jí)密鑰和初級(jí)密鑰的產(chǎn)生都需要偽隨機(jī)數(shù)。偽隨機(jī)性：長周期，均勻分布，獨(dú)立性，非線性一般采用基于強(qiáng)密碼算法的產(chǎn)生方法（DES，AES）ANSIX9.17（基于3DES）

④偽隨機(jī)數(shù)的產(chǎn)生ANSIX9.17密鑰產(chǎn)生的過程V0是一個(gè)秘密的64bit種子時(shí)間戳隨機(jī)密鑰(64bit)對(duì)于128位和192位密鑰，可以通過上法生成幾個(gè)64位的密鑰后，串接起來即可2、密鑰分配密鑰分配自古以來就是密鑰管理中重要而薄弱的環(huán)節(jié)。過去，密鑰的分配主要采用人工分配?，F(xiàn)在，應(yīng)當(dāng)利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)密鑰分配的自動(dòng)化。①主密鑰的分配一般采用人工分配主密鑰，由專職密鑰分配人員分配并由專職安裝人員妥善安裝。由專職密鑰分配人員分配并由專職安裝人員安裝。雖然這種人工分配和安裝的方法很安全，但是效率低。另一種方法是直接利用已經(jīng)分配安裝的主密鑰對(duì)二級(jí)密鑰進(jìn)行加密保護(hù)，并利用計(jì)算機(jī)網(wǎng)絡(luò)自動(dòng)傳輸分配。兩種方案：②二級(jí)密鑰的分配C=E(KNC,KM)KNC=D(C,KM)主密鑰KM主密鑰KM網(wǎng)絡(luò)信道C發(fā)端收端方案1產(chǎn)生KNC產(chǎn)生RNKNC=D(RN,KM)主密鑰KM主密鑰KM網(wǎng)絡(luò)信道RN發(fā)端收端KNC=D(RN,KM)RN方案2③初級(jí)密鑰的分配通?？偸前岩粋€(gè)隨機(jī)數(shù)直接視為是二級(jí)密鑰）加密過的初級(jí)密鑰，這樣初級(jí)密鑰一產(chǎn)生便成為密文形式。發(fā)端直接把密文形式的初級(jí)密鑰通過計(jì)算機(jī)網(wǎng)絡(luò)傳給收方，收端用高級(jí)密鑰解密便獲得初級(jí)密鑰。產(chǎn)生隨機(jī)數(shù)RN接受隨機(jī)數(shù)RN二級(jí)密鑰KN二級(jí)密鑰KNKC=D(RN,KN)KC=D(RN,KN)KCKC網(wǎng)絡(luò)信道RN發(fā)端收端3、密鑰的存儲(chǔ)密鑰的安全存儲(chǔ)就是要確保密鑰在存儲(chǔ)狀態(tài)下的秘密性、真實(shí)性和完整性。安全可靠的存儲(chǔ)介質(zhì)是密鑰安全存儲(chǔ)的物質(zhì)條件，安全嚴(yán)密的訪問控制是密鑰安全存儲(chǔ)的管理?xiàng)l件。密鑰安全存儲(chǔ)的原則是不允許密鑰以明文形式出現(xiàn)在密鑰管理設(shè)備之外。密鑰的存儲(chǔ)形態(tài)有以下幾種：明文形態(tài)：明文形式的密鑰。密文形態(tài)：被密鑰加密密鑰加密過的密鑰。分量形態(tài)：密鑰分量不是密鑰本身，而是用于產(chǎn)生密鑰的部分參數(shù)。①主密鑰的存儲(chǔ)主密鑰是最高級(jí)的密鑰，所以它只能以明文形態(tài)存儲(chǔ)，否則便不能工作。要求存儲(chǔ)器必須是高度安全的，物理上是安全的，而且邏輯上也是安全的。通常是將其存儲(chǔ)在專用密碼裝置中。②二級(jí)密鑰的存儲(chǔ)二級(jí)密鑰可以以明文形態(tài)存儲(chǔ)，也可以以密文形態(tài)存儲(chǔ)。如果以明文形態(tài)存儲(chǔ)，則要求存儲(chǔ)器必須是高度安全的。如果以密文形態(tài)存儲(chǔ)，則對(duì)存儲(chǔ)器的要求可適當(dāng)降低。通常采用以高級(jí)密鑰加密的形式存儲(chǔ)二級(jí)密鑰。這樣可減少明文形態(tài)密鑰的數(shù)量，便于管理。③初級(jí)密鑰的存儲(chǔ)初級(jí)文件密鑰和初級(jí)會(huì)話密鑰是兩種性質(zhì)不同的初級(jí)密鑰，因此其存儲(chǔ)方式也不相同。初級(jí)文件密鑰的生命周期與受保護(hù)的文件的生命周期一樣長。因此初級(jí)文件密鑰需要妥善的存儲(chǔ)。一般采用密文形態(tài)存儲(chǔ)，通常采用以二級(jí)文件密鑰加密的形式存儲(chǔ)初級(jí)文件密鑰。初級(jí)會(huì)話密鑰按“一次一密”的方式工作，使用時(shí)動(dòng)態(tài)產(chǎn)生，使用完畢后即銷毀，生命周期很短。因此，初級(jí)會(huì)話密鑰的存儲(chǔ)空間是工作存儲(chǔ)器，應(yīng)當(dāng)確保工作存儲(chǔ)器的安全。3.3公開密碼體制的密鑰管理與傳統(tǒng)密鑰的區(qū)別傳統(tǒng)密碼體制只有一個(gè)密鑰，加密鑰等于解密鑰，故密鑰的秘密性、真實(shí)性和完整性都必須保護(hù)。公開密碼體制中密鑰有兩個(gè)，加密鑰不等于解密鑰，加密鑰可以公開加密鑰（公鑰）的完整性和真實(shí)性要嚴(yán)格保護(hù)(為什么？)解密鑰（私鑰）的秘密性，完整性和真實(shí)性都要保護(hù)一公開密碼體制的密鑰產(chǎn)生傳統(tǒng)密碼體制的密鑰本質(zhì)是一個(gè)隨機(jī)數(shù)，故對(duì)隨機(jī)性的要求較高公開密鑰密碼體制本質(zhì)是一個(gè)單向陷門函數(shù)，是建立在數(shù)學(xué)難題基礎(chǔ)上的，密鑰必須滿足該數(shù)學(xué)難題的要求公開密鑰密碼的密鑰產(chǎn)生（續(xù)）RSA密碼體制（回憶）秘密鑰p,q,d,公開鑰n,e要求p和q至少有512位p和q鑰隨機(jī)產(chǎn)生p和q的差要大

(p-1)和(q-1)的最大公因子要小e和d不能太小二公開密碼體制的密鑰分配和傳統(tǒng)密碼一樣，公開密碼體制也需要進(jìn)行密鑰分配。但是，公鑰密碼的密鑰分配與傳統(tǒng)密碼體制的密鑰分配有著本質(zhì)的差別。對(duì)于私鑰：分配時(shí)必須確保秘密性、真實(shí)性和完整性。對(duì)于公鑰：公開的，因此不需確保秘密性，卻必須確保真實(shí)性和完整性，絕對(duì)不允許攻擊者替換或篡改用戶的公鑰。如果公鑰的真實(shí)性和完整性受到危害，則基于公鑰的各種應(yīng)用的安全將受到危害。C冒充A欺騙B的攻擊方法：①攻擊者C在PKDB中用自己的公鑰KeC替換用戶A的公鑰KeA

。②C用自己的解密鑰簽名一個(gè)消息冒充A發(fā)給B。③B驗(yàn)證簽名：因?yàn)榇藭r(shí)PKDB中A的公開鑰已經(jīng)替換為C的公開鑰，故驗(yàn)證為真。 于是B以為攻擊者C就是A。結(jié)果導(dǎo)致：④若B要發(fā)送加密的消息給A，則B要用A的公開鑰進(jìn)行加密，但A的公開鑰已被換成C的公開鑰，因此B實(shí)際上是用C的公開鑰進(jìn)行了加密。⑤C從網(wǎng)絡(luò)上截獲B發(fā)給A的密文。由于這密文實(shí)際上是用C的公開鑰加密的，所有C可以解密。A反而不能正確解密。AKeABKeBCKeCAKeCBKeBCKeC攻擊者C篡改PKDB上述攻擊成功的原因：①對(duì)存入PKDB的公開鑰沒有采取保護(hù)措施，致使公鑰被替換而不能發(fā)現(xiàn)；②存入PKDB的公鑰與用戶的標(biāo)識(shí)符之間沒有綁定關(guān)系，致使A的公鑰替換成C的公鑰后不能發(fā)現(xiàn)，公鑰與用戶的標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系被破壞。采用數(shù)字簽名技術(shù)可以克服上述兩個(gè)弱點(diǎn)，確保公開鑰的安全分配。－－公鑰證書PKC是一種包含持證主體標(biāo)識(shí)、持證主體公鑰等信息，并由可信任的簽證機(jī)構(gòu)（CA）簽署的信息集合。公鑰證書主要用于確保公鑰及其與用戶綁定關(guān)系的安全。這個(gè)公鑰就是證書所標(biāo)識(shí)的那個(gè)主體的合法的公鑰。公鑰證書的持證主體可以是人、設(shè)備、組織機(jī)構(gòu)或其它主體。公鑰證書能以明文的形式進(jìn)行存儲(chǔ)和分配。公鑰證書PKC（PublicKeyCertificate）簡單公鑰證書示意圖主體身份信息主體的公鑰CA的信息其它信息CA的簽名簽名公鑰證書CA的私鑰問題：如何驗(yàn)證證書真?zhèn)?？公鑰與用戶的標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系使用公鑰證書的主要好處是：①用戶只要獲得其它用戶的證書，就可以獲得其它用戶的公鑰。②用戶只要獲得CA的公鑰，就可以安全地認(rèn)證其它用戶的公鑰。③因此公鑰證書為公鑰的分發(fā)奠定了基礎(chǔ)，成為公鑰密碼在大型網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的關(guān)鍵技術(shù)。

這就是電子政務(wù)、電子商務(wù)等大型網(wǎng)絡(luò)應(yīng)用系統(tǒng)都采用公鑰證書技術(shù)的原因。版本號(hào)證書序列號(hào)簽名算法標(biāo)識(shí)符頒發(fā)者的名稱有效期（不早于/不晚于）主體名稱主體的公鑰信息頒發(fā)者唯一標(biāo)識(shí)符（可選）主體唯一標(biāo)識(shí)符（可選）擴(kuò)展項(xiàng)（可選）頒發(fā)者的簽名擴(kuò)展類型擴(kuò)展類型……擴(kuò)展類型關(guān)鍵/非關(guān)鍵關(guān)鍵/非關(guān)鍵……關(guān)鍵/非關(guān)鍵擴(kuò)展字段值擴(kuò)展字段值……擴(kuò)展字段值X.509版本3的證書結(jié)構(gòu)公開密鑰基礎(chǔ)設(shè)施提供一系列支持公開密鑰密碼應(yīng)用（加密與解密、簽名與驗(yàn)證簽名）的基礎(chǔ)服務(wù)。公鑰證書是PKI中最基礎(chǔ)的組成部分。此外，PKI還包括簽發(fā)證書的機(jī)構(gòu)（CA），注冊(cè)登記證書的機(jī)構(gòu)（RA），存儲(chǔ)和發(fā)布證書的目錄，密鑰管理，時(shí)間戳服務(wù)，管理證書的各種軟件和硬件設(shè)備，證書管理與應(yīng)用的各種政策和法律，以及證書的使用者。所有這些共同構(gòu)成了PKI。本質(zhì)上，PKI是一種標(biāo)準(zhǔn)的公鑰密碼體制的密鑰管理平臺(tái)。3.4公鑰基礎(chǔ)設(shè)施PKI在PKI中，CA負(fù)責(zé)簽發(fā)證書、管理和撤銷證書。CA嚴(yán)格遵循證書策略機(jī)構(gòu)所制定的策略簽發(fā)證書。CA是所有注冊(cè)用戶所信賴的權(quán)威機(jī)構(gòu)。CA在給用戶簽發(fā)證書時(shí)要加上自己的簽名，以確保證書信息的真實(shí)性。為